蓝盟IT小贴士,来喽!
领先的开发团队采用了完全自动化的连续集成和互联互通(CI/CD )管道,具有集成的测试自动化功能,作为代码基础架构被部署它们将变更管理和事件管理工作流与敏捷开发工具结合起来,并使用人工智能运维(AIops )平台更快地确定生产环境中实际问题的根本原因。
但是,软件开发中的安全问题依然存在。 根据行业分析师公司ESG的《现代应用程序开发安全》报告,只有36%的受访者将应用程序安全项目评分为9分或10分,66%的受访者表示受应用程序安全工具保护的代码库小于75%
这些安全缺陷并不是因为缺乏技术、咨询或安全服务提供者。 《2020年网络安全年鉴》排有3500多个潜在的安全合作伙伴。 最终,明确定义安全原则并通知软件开发团队是最大限度地降低软件开发中的安全风险并提供业务价值的关键。
以下是首席信息官和IT主管需要关注的6种风险和应对方法。
1 .未将安全视为开发运输业的一等公民
公司把安全放在首位,许多组织确实遵循了敏捷和开发运输的最佳实践。 但是,与开发团队的数量相比,信息安全团队经常人手不足,可以看出其他业务和技术负债优先事项占敏捷团队工作的大部分,以及为什么整个组织没有统一采用安全实践。
ESG的研究报告支持了这个结论。 78%的受访者表示安全分析师直接与开发人员进行交互,但只有31%的受访者单独确认了功能和代码。 这一差距相当大,大多数企业组织都雇佣了足够多的安全专家,无法长期分配给敏捷开发团队。 但是,许多企业可以:
要求整个软件开发团队进行持续的安全培训和教育。
要求信息安全团队在Atlassian Confluence和微软团队等工具中列出安全检查标准,并要求敏捷团队在用户故事中提及这些标准。
规范敏捷计划和公开管理方面的合作,使信息安全团队能够在开发过程的早期标记高风险的功能和用户故事。
记录和公布迭代开发周期(sprint )的审查结果,以便信息安全小组可以审查更多的审查结果,标记有风险的实施。所有新开发的API、微服务、集成机制和应用程序都必须在CI/CD管线上执行必要的安全测试。
定义原则,确保团队之间的协作,改善文化,提高团队的幸福感,可能是CIO帮助提高软件安全性的最重要方法。 在2020年的《开发安全运维(DevSecOps)社区调查》中,发现心情舒畅的开发者对安全关心的可能性提高了3.6倍。
2 .开发自己的技术实施方法
软件开发团队非常喜欢创建和开发解决方案,企业组织需要他们的才能、创新和技术能力来应对紧迫的业务挑战。 但是,实际需求也可能会使开发团队陷入不断解决原本可以从第三方获得的棘手技术问题和实施方法的困境。
低代码和无代码可能意味着更安全的解决方案。 这至少有两个原因。 首先,敏捷产品的所有者并不总是了解主要功能的安全隐患。 其次,如果许多人试图明确表达需求而不定义解决方案元素,则团队实施的代码密集型解决方案可能会带来安全风险。
敏捷开发团队必须向产品所有者询问功能优先事项,并协商其范围和需求。 防止被质疑的方法之一是,严格按照规格编写用户文章,并进行评估,以便在编程开始前使复杂的情况变得明显。
一旦团队就优先事项和功能范围达成一致,开发团队就必须考虑在实施时具体在哪些地方使用第三方技术。 审查对象必须包括低代码/无代码平台、开放源代码库、业务框架、公共云服务和作为服务的软件工具。
当然,没有免费的午餐。 使用第三方解决方案也带来了风险。
3 .开放源码和业务组件的管理和控制不善
你听说过开发运输团队为什么最有能力选择自己的工具吗? 这是高级开发运维团队经常提到的观念,我也听说过几本提倡这个原则的有名的开发运维的书。
但是,许多首席信息官、IT官和首席信息安全官警告发货维团队不要完全决定工具和组件的选择。 与此同时,许多官员承认,过度限制和复杂的审批流程会阻碍创新,使才华横溢的开发人员感到沮丧。 首席信息官、IT官和首席信息安全官必须确定以技术选择、升级和补丁为中心的有序、易于遵守的规则和明智的治理。
最近的调查结果显示了风险。 一家公司对1,500名IT专家进行了开发安全交付和开源代码管理的调查,结果显示,只有72%的公司声称拥有开源代码使用政策,并设立了开源治理委员会这只是问题的冰山一角。 因为只有16%的受访者认为,一旦发现高危开源漏洞,他们就有能力修复漏洞。
文/上海蓝盟 IT外包专家
中文
电话咨询
微信咨询
公众号
